今年2月中旬�,為了在一次攻擊中大規(guī)模感染客戶,勒索軟件分發(fā)者現(xiàn)在已經(jīng)開(kāi)始針對(duì)托管服務(wù)供應(yīng)商(MSP)���。當(dāng)時(shí)的報(bào)告顯示���,多個(gè)MSP遭到黑客攻擊,導(dǎo)致數(shù)百個(gè)客戶感染了GandCrab勒索軟件���,F(xiàn)在����,這種攻擊方式又死灰復(fù)燃了���,到目前為止���,勒索軟件團(tuán)伙已經(jīng)破壞了至少三家托管服務(wù)供應(yīng)商(MSP)的基礎(chǔ)設(shè)施���,并使用遠(yuǎn)程管理工具,即Webroot SecureAnywhere控制臺(tái)�����,在托管服務(wù)供應(yīng)商的客戶系統(tǒng)上部署勒索軟件����。
攻擊細(xì)節(jié)目前還不夠詳細(xì),事件的影響范圍以及相關(guān)托管服務(wù)供應(yīng)商的信息也還沒(méi)有�。但根據(jù)目前發(fā)現(xiàn)的信息,攻擊者可能以某種方式獲得了托管服務(wù)供應(yīng)商的兩個(gè)遠(yuǎn)程管理工具——一個(gè)來(lái)自Webroot���,另一個(gè)來(lái)自Kaseya——來(lái)分發(fā)勒索軟件。
1. 黑客通過(guò)RDP(遠(yuǎn)程桌面端點(diǎn))進(jìn)入
Huntress Lab的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Kyle Hanslovan表示����,黑客通過(guò)暴露的RDP(遠(yuǎn)程桌面端點(diǎn)),受損系統(tǒng)內(nèi)的特權(quán)升級(jí)以及手動(dòng)卸載的AV產(chǎn)品(如ESET和Webroot)入侵托管服務(wù)提供商����。
在攻擊的下一階段,黑客搜索Webroot SecureAnywhere的帳戶��,這是托管服務(wù)供應(yīng)商用來(lái)管理遠(yuǎn)程工作站(在其客戶網(wǎng)絡(luò)中)的遠(yuǎn)程管理軟件(控制臺(tái))。然后����,黑客使用控制臺(tái)在遠(yuǎn)程工作站上執(zhí)行Powershell腳本,下載并安裝Sodinokibi勒索軟件的腳本����。
到目前為止,至少有三個(gè)托管服務(wù)供應(yīng)商以這種方式被黑客入侵�����。一些Reddit用戶還報(bào)告說(shuō)��,黑客可能也使用了Kaseya VSA遠(yuǎn)程管理控制臺(tái)�����,但這一點(diǎn)還未得到研究人員的證實(shí)��。
三家供應(yīng)商中有兩家公司只有運(yùn)行Webroot的主機(jī)被感染����,考慮到Webroot的管理控制臺(tái)允許管理員遠(yuǎn)程下載和執(zhí)行文件到端點(diǎn),這是一個(gè)看似合理的攻擊媒介����。
2. WEBROOT為SECUREANYWHERE帳戶部署2FA(雙因素身份認(rèn)證)
根據(jù)Hanslovan收到的一封電子郵件�,Webroot開(kāi)始強(qiáng)制為SecureAnywhere帳戶啟用雙因素身份認(rèn)證����,希望防止黑客利用任何其他可能被劫持的帳戶部署新的勒索軟件。
SecureAnywhere支持2FA����,但在默認(rèn)情況下不啟用該功能。
Sodinokibi勒索軟件是一種相對(duì)較新的勒索軟件���,于4月下旬發(fā)現(xiàn)����。當(dāng)時(shí)����,威脅行為者正在使用Oracle WebLogic 0-day攻擊公司網(wǎng)絡(luò)并部署勒索軟件�。Sodinokibi勒索軟件可以加密受感染系統(tǒng)上的數(shù)據(jù)并刪除副本備份。
現(xiàn)在針對(duì)托管服務(wù)供應(yīng)商的攻擊是第二次攻擊浪潮����,第一次攻擊時(shí)黑客組織利用常用MSP工具中的漏洞在客戶的工作站上部署GandCrab勒索軟件�����。巧合的是���,第一次攻擊被報(bào)道出來(lái)時(shí),羅馬尼亞當(dāng)?shù)孛襟w報(bào)道說(shuō)�,該國(guó)首都布加勒斯特有五家醫(yī)院感染了GandCrab勒索軟件。但是���,沒(méi)有證據(jù)表明這兩個(gè)事件之間沒(méi)有聯(lián)系�。
對(duì)托管服務(wù)供應(yīng)商的攻擊越來(lái)越令人擔(dān)憂��。一些由國(guó)家贊助的威脅組織已開(kāi)始以托管服務(wù)供應(yīng)商為目標(biāo)�����,并試圖進(jìn)入其客戶網(wǎng)絡(luò)�。APT10是針對(duì)托管服務(wù)供應(yīng)商的最著名的組織之一,在過(guò)去幾年中�,該組織一直在進(jìn)行一項(xiàng)名為Cloud Hopper的網(wǎng)絡(luò)間諜活動(dòng),通過(guò)攻擊托管服務(wù)供應(yīng)商來(lái)竊取銀行��、制造業(yè)、電子產(chǎn)品和其他許多行業(yè)的組織數(shù)據(jù)�����。
2018年10月���,美國(guó)國(guó)土安全部發(fā)布了題為《利用托管服務(wù)提供商的高級(jí)持續(xù)性威脅活動(dòng)》的警報(bào)��,討論了不良行為者如何針對(duì)MSP獲取其客戶網(wǎng)絡(luò)的訪問(wèn)權(quán)限�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
